Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Популярные решения EDR содержат опасные уязвимости

23/04/24

 

What_is_EDR

Специалист компании SafeBreach Шмуэль Коэн продемонстрировал, что EDR-решения могут быть использованы в качестве инструментов для проведения атак. В ходе исследования Коэн проанализировал одну из EDR-систем, выявив уязвимости, которые могли бы позволить хакерам использовать такой инструмент во вред.

EDR-системы, работающие с высокими привилегиями, предназначены для защиты устройств от различных угроз, включая вредоносные программы. Однако компрометация таких систем может предоставить атакующим стойкий и незаметный доступ к устройствам жертв.

Коэн обнаружил, что поведение исследуемого EDR позволяет обходить защиту от изменения файлов, что дает возможность запускать шифрующее ПО для вымогательства и даже загружать уязвимый драйвер для предотвращения удаления EDR с помощью пароля администратора.

Кроме того, исследователь нашёл способ внедрения вредоносного кода в один из процессов EDR, позволяющий выполнять код с высокими привилегиями и оставаться незамеченным. Коэн также использовал возможность модификации Lua и Python файлов, что делает возможным выполнение вредоносного кода и получение доступа к машине с наивысшими системными привилегиями.

Используя уязвимый драйвер, Коэн мог читать и записывать в ядро системы, что позволяло ему изменять проверку пароля управления в EDR, делая возможным использование любого пароля, или даже блокировать удаление программы, если она отключена от управляющего сервера.

Исследование подчеркивает, что атаки на EDR-решения могут предоставить злоумышленникам мощные возможности, которые, скорее всего, останутся незамеченными, пишет Securitylab. Коэн отмечает, что продукты безопасности должны тщательно защищать логику процессов обнаружения, шифровать и подписывать файлы контента цифровой подписью, чтобы предотвратить их изменение. Также следует добавлять процессы в списки разрешенных или запрещенных на основе нескольких параметров, которые не должен иметь возможность изменить атакующий.

Palo Alto Networks отреагировала на открытие Коэна, обновив защитные механизмы и порекомендовав пользователям удостовериться в актуальности своих систем. Коэн поделился своими исследованиями с общественностью, чтобы повысить осведомленность о подобных угрозах и усилить меры безопасности в организациях.

Темы:КиберзащитаУгрозыEDRSafeBreach
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...